Программа безопасности пользователей

Методика проведения независимой оценки

Цель настоящего документа – предоставить пользователям SWIFT и выполняющим оценку внутренним экспертам
и внешним организациям (далее - оценщики) полное представление о процессе проведения независимой оценки.

04 июля 2019 года

Программа безопасности пользователей
Методика проведения независимой оценки Содержание

Содержание
1 Введение ....................................................................................................................3

1.1 История вопроса ......................................................................................................................... 3

1.2 Связанные документы ................................................................................................................ 3

2 Общее описание оценки ..........................................................................................4

2.1 Инициированные пользователем оценки ................................................................................. 4

2.2 Общепринятые сообществом оценки (начиная с 2020 года) .................................................. 5

2.3 Оценки по требованию SWIFT ................................................................................................... 5

3 Область применения оценки ..................................................................................7

4 Подход оценки ...........................................................................................................8

5 Имеющиеся ресурсы для оценки ...........................................................................9

5.1 Руководство и документация по безопасности ........................................................................ 9

5.2 Шаблоны и формы по оценке .................................................................................................... 9

5.3 Учебные материалы ................................................................................................................. 10

5.4 Независимость оценщика ........................................................................................................ 10

5.5 Квалификация внешнего оценщика ........................................................................................ 10

5.6 Расходы на оценку .................................................................................................................... 11

6 Методология тестирования ................................................................................... 12

6.1 Возможные методы оценки ...................................................................................................... 12

6.2 Сервис-бюро и поставщики L2BA ............................................................................................ 13

6.3 Другие сторонние поставщики услуг ....................................................................................... 13

7 Результаты оценки ................................................................................................. 14

7.1 Отчет по оценке ........................................................................................................................ 14

7.2 Согласование с результатами самоаттестации в KYC-SA ................................................... 14

04 июля 2019 года 1

Программа безопасности пользователей
Методика проведения независимой оценки Содержание

8 Эскалация до надзорных органов и контрагентов ........................................... 16

9 Словарь терминов .................................................................................................. 16

10 Официальное уведомление .................................................................................. 17

04 июля 2019 года 2

Программа безопасности пользователей
Методика проведения независимой оценки

1 Введение
Этот документ содержит методику проведения оценки соблюдения положений документа
«Концепция обеспечения безопасности пользователей SWIFT» (SWIFT Customer Security
Controls Framework - CSCF). Он предназначен для поддержки пользователей SWIFT и
оценщиков в выполнении соответствующих обязанностей.

1.1 История вопроса

Программа безопасности пользователей

SWIFT представила Программу безопасности пользователей (Customer Security

Programme – CSP) для стимулирования усиления кибербезопасности среди сообщества
пользователей SWIFT. Пользователи несут ответственность за безопасность своей
инфраструктуры, и для поддержки этого была разработана CSP, чтобы помочь бороться
с угрозами безопасности критическим узлам инфраструктуры и кибермошенничеством. В
основе CSP лежит типовой набор элементов контроля безопасности, направленных на то,
чтобы помочь пользователям защитить свои локальные среды и, в свою очередь,
сообщество SWIFT в целом.

Концепция обеспечения безопасности пользователей

SWIFT CSCF включает в себя обязательные и рекомендуемые элементы контроля

безопасности для реализации пользователями SWIFT в их среде, связанной со SWIFT.
Обязательные элементы контроля безопасности устанавливают общий базовый уровень
безопасности для сообщества SWIFT и должны быть реализованы всеми пользователями,
включая тех, кто подключается через сервисное бюро или провайдера L2BA.

Рекомендуемые элементы контроля основаны на рациональной и обоснованной практике

обеспечения безопасности, и SWIFT рекомендует пользователям внедрять также и эти
элементы контроля, когда это к ним применимо. Перечень обязательных и рекомендуемых
элементов контроля регулярно пересматривается, в частности с учетом меняющегося
ландшафта угроз – см. подраздел 1.2.

Руководство по безопасности

Руководящие документы по безопасности предоставляют сообществу SWIFT

минимальный набор рекомендаций по обеспечению безопасности для клиентов,
использующих Alliance Web Platform Server-Embedded, Alliance Access/Entry, Alliance
Gateway и SWIFTNet Link, а также все версии Alliance Messaging Hub (AMH).

Процесс самоаттестации по безопасности

В рамках CSCF пользователи SWIFT должны самостоятельно подтвердить свой уровень

соответствия обязательным элементам контроля, применимым к их типу архитектуры
(типы архитектур: A1, A2, A3 или B).

Результаты проведенной самоаттестации должны быть предоставлены и опубликованы в

KYC-SA (Know Your Customer – Security Attestation / Знай своего клиента – Аттестация по
безопасности) приложение, и это приложение также позволяет пользователям указывать,
подкрепляется ли их результат независимой оценкой - внутренней, либо внешней.

Дополнительная информация о четырех вышеупомянутых типах архитектуры доступна в

документе Концепция обеспечения безопасности пользователей SWIFT (CSCF), см.
подраздел 1.2.

04 июля 2019 года 3

Программа безопасности пользователей
Методика проведения независимой оценки

1.2 Связанные документы

• Концепция обеспечения безопасности пользователей SWIFT (SWIFT Customer Security
Controls Framework)
• Политика обеспечения безопасности пользователей SWIFT (SWIFT Customer Security
Controls Policy)
• Программа обеспечения безопасности пользователей - положения и условия (Customer
Security Programme – Terms and Conditions)
• Общие положения и условия SWIFT (SWIFT General Terms and Conditions)
• Словарь терминов SWIFT (SWIFT Glossary)
• Дерево решений для определения типа архитектуры CSP (Decision tree to determine the
CSP Architecture type)
• Руководящие документы по безопасности (Security Guidance documentation)

2 Общее описание оценки

Этот документ предназначен для поддержки пользователей SWIFT и оценщиков в
выполнении соответствующих обязанностей на протяжении всего процесса оценки в рамках
CSCF. В частности, его цель заключается в оказании поддержки пользователям в проверке
того, что их самоаттестации соответствуют их фактическому уровню реализации элементов
контроля безопасности. Понимание трех типов оценки, предусмотренных в рамках CSCF,
имеет основополагающее значение для достижения этой цели.

В таблице ниже представлены три категории оценки и их применимость в разбивке по годам.

Рисунок 1. Типы и применимость оценки в рамках CSCF

2.1 Инициированные пользователем оценки

"Инициированные пользователем оценки" носят добровольный характер и могут быть

выполнены пользователем для поддержки проводимой самоаттестации. Такие оценки
могут проводиться как внутренними специалистами, так и внешними сторонами в
соответствии с предпочтениями пользователей. Инициированные пользователями оценки
будут заменены на "Общепринятые сообществом оценки" для всех пользователей с
середины 2020 года.

04 июля 2019 года 4

Программа безопасности пользователей
Методика проведения независимой оценки

2.2 Общепринятые сообществом оценки (начиная с 2020 года)

С середины 2020 года все пользователи будут обязаны выполнять "Общепринятые
сообществом оценки".
В целях дальнейшего повышения целостности, согласованности и точности аттестаций,
SWIFT делает обязательным, начиная с новых аттестаций, предоставляемых в 2020
году в рамках CSCF v2020, независимую оценку данных аттестаций. Это должно быть
достигнуто либо путем:

 Внешней оценки, проводимой независимой внешней организацией, имеющей как

опыт оценки уровня кибербезопасности, так и отдельных экспертов, имеющих
соответствующие сертификаты в области безопасности, либо:

 Внутренней оценки, осуществляемой сотрудниками второй или третьей линии

защиты пользователей (например, сотрудниками подразделения комплаенса,
управления рисками или внутренних аудитов) или с эквивалентными функциями
[согласно установленному порядку], которые не зависят от сотрудников первой
линии защиты, предоставивших аттестацию (например, CISO или Директор по
информационной безопасности) или с эквивалентными функциями [согласно
установленному порядку]. По мнению внешних оценщиков, те, кто проводит работу
по оценке, должны обладать соответствующим современным опытом в области
оценки связанных с кибербезопасностью элементов контроля.

В случае, когда в новой версии CSCF содержатся изменения, влияющие на

пользовательскую реализацию элемента контроля, пользователи не должны полагаться
на оценки, которые были выполнены в рамках более ранней версии CSCF, а должны
вместо этого провести новую оценку.

В случае, если новая версия CSCF не будет выпущена в каком-то году, или для какого-то
определенного пользователя новая версия CSCF не затронет применимые к этому
пользователю элементы контроля / руководство по применению (по внедрению этих
элементов контроля), а также тип его архитектуры, такой пользователь может полагаться на
результаты оценки, проведенной в предыдущем году. Для этого также необходимо, чтобы:

 архитектура пользователя, конфигурация элементов контроля и методы реализации

не изменились за прошедший период.
 Дата отчета об оценке не превышала двух лет на момент предоставления данных
самоаттестации.
 Пользователь подтвердил вместе с внутренним / внешним оценщиком, который ранее
провел оценку, и убежден в том, что можно по-прежнему полагаться на оценку в
момент предоставления данных самоаттестации.

Пользователи должны обратить внимание на то, что в случае получения запроса на

проведение оценки по требованию SWIFT, исключается возможность проведения
внутренней независимой оценки в этом году.

2.3 Оценки по требованию SWIFT

Отдельная категория и отличная от вышеупомянутых двух категорий. SWIFT оставляет за
собой право обращаться за независимыми внешними гарантиями, чтобы убедиться в
достоверности самоаттестации, как указано в Политике обеспечения безопасности
пользователей (Customer Security Controls Policy - CSCP).

Проведение "Оценок по требованию SWIFT" началось в 2018 году, в соответствии с чем

SWIFT предложил небольшой группе пользователей организовать проведение
независимых внешних оценок.

04 июля 2019 года 5

Программа безопасности пользователей
Методика проведения независимой оценки

SWIFT стремится сформировать репрезентативную группу пользователей для

проведения обязательных независимых оценок. Обычно это происходит после того, как
SWIFT завершает свой основной процесс Обеспечения качества (Quality Assurance - QA)1,
результаты которого влияют на процесс отбора пользователей в группу. Элементы,
которые с большой вероятностью будут приняты во внимание:

 Необычные модели соответствия (например, когда имеются значительные и необъяснимые

отклонения от тех, которые наблюдаются в других регионах или на рынке пользователя).
 Случаи, когда реализация элементов контроля слишком зависит от "альтернативных
способов"2, и когда эта зависимость превышает ожидания для данного сегмента
пользователей.
 Сегменты пользователей, анализ которых показывает, что они могут подвергаться особенно
высокому риску возникновения (повторного) инцидента.

Если пользователь выбран для оценки по требованию SWIFT, уведомление от SWIFT

направляется к CISO, который был назначен Пользователем на последней
самоаттестации. Если пользователь считает, что существуют веские причины, по которым
оценка не должна проводиться (например, их аттестация прошла внешний аудит, но этот
факт не был указан в приложении KYC-SA), то об этом необходимо незамедлительно
сообщить в SWIFT.

SWIFT требует от выбранных для оценки пользователей назначить независимого стороннего

(т. е. внешнего) оценщика и использовать стандартизированные шаблоны SWIFT (см. Раздел
5) для проведения независимой оценки. Привлечение независимых внутренних сторон, в том
числе выполняющих функции внутреннего аудита, не допускается для проведения оценки по
требованию SWIFT. Пользователи обязаны информировать SWIFT о компании,
предоставляющей услуги внешней оценки, используя стандартизированный шаблон
уведомлений. SWIFT оставляет за собой право подтвердить полномочия поставщика
(компании) по проведению оценки, квалификацию персонала (лиц), осуществляющих оценку,
и/или их способность оценивать соответствие требованиям CSCF.

Оценки по требованию SWIFT должны охватывать все обязательные элементы контроля

SWIFT, применимые к типу архитектуры пользователя, как это определено в версии документа
CSCF, применимой на момент проведения оценки, даже если запрос на оценку относится к
аттестации, предоставленной в соответствии с предыдущей версией документа CSCF.

Пользователям, которые подтвердили соответствие рекомендуемым элементам

контроля, рекомендуется обратиться к внешнему оценщику с запросом включить это
соответствие в свой отчет, хотя это и не является обязательным.
SWIFT требует, чтобы любая такая оценка была завершена в течение шести месяцев с
момента первоначального запроса, направленного SWIFT.

Ожидается, что оценки по требованию SWIFT будут продолжаться до 2019 года и далее,
и с 2020 года они будут отделены от общепринятых сообществом оценок для всех
пользователей, как указано выше.

Оставшаяся часть этого документа призвана помочь пользователям и оценщикам понять

область применения оценок, проводимых в соответствии с документом CSCF,
квалификационные требования, необходимые для проведения независимой оценки по
CSCF, временные ограничения, ожидаемые результаты, а также ресурсы, имеющиеся для
поддержания усилий по проведению оценки.

1 Процесс обеспечения качества (Quality Assurance - QA) по Программе безопасности пользователей (Customer Security
Programme - CSP) предназначен для обеспечения как количественного понимания, так и качественного подтверждения
активностей, связанных с аттестациями пользователей и консультациями по этому вопросу с контрагентами.
2 SWIFTожидает, что только некоторые пользователи - как правило, те, кто имеет высокий уровень зрелости процесса
управления рисками нарушения информационной безопасности в своей организации - рассмотрят альтернативные
маршруты внедрения одного или нескольких элементов контроля.

04 июля 2019 года 6

Программа безопасности пользователей
Методика проведения независимой оценки

3 Область применения оценки

Любой из методов оценки, описанных выше, должен охватывать все обязательные
элементы контроля, изложенные в последней версии CSCF, которые применимы к этому
пользователю в соответствии с его типом архитектуры и инфраструктуры SWIFT.
Пользователям, которые подтвердили соответствие рекомендуемым элементам
контроля, рекомендуется обратиться к оценщику с запросом включить это соответствие в
свой отчет, хотя это и не является обязательным.

Оценка должна, как минимум, охватывать все входящие в область применения

компоненты связанной со SWIFT инфраструктуры пользователя, как это
задокументировано в CSCF. К ним относятся следующие основные системы, операторы и
устройства:

 Уровень обмена данными

 Локальная инфраструктура SWIFT
 Зона безопасности
 Интерфейс обмена сообщениями
 Коммуникационный интерфейс
 SWIFTNet Link (SNL)
 Коннектор
 Аппаратные модули безопасности SWIFT (Hardware Security Modules - HSM)
 Файерволы, маршрутизаторы и коммутаторы в пределах инфраструктуры SWIFT или
примыкающие к ней
 Графический интерфейс пользователя (GUI)
 Операторы и их ПК

Оценка должна подтвердить выбранный тип архитектуры и охватить все рабочие среды,
среды резервного копирования и восстановления после отказа (если применимо), в
которых размещаются любые из вышеперечисленных систем, операторов или устройств.

SWIFT настоятельно призывает пользователей тщательно и точно определить область

применения оценки с их потенциальным оценщиком (оценщиками) в процессе выбора
поставщика для закупок соответствующих услуг. Это может помочь предотвратить
различного рода разногласия, а также существенно снизить любые риски, связанные с
чрезмерным или недостаточным набором активностей по оценке.

После того, как область применения будет установлена, сроки оценки могут быть
определены таким образом, чтобы гарантировать своевременное предоставление отчета,
что позволит пользователю передать соответствующие данные своей самоаттестации в
приложение KYC-SA в рамках обычного периода проведения аттестации с 1 июля до конца
года - 31 декабря. Таким образом, планирование должно включать в себя время,
необходимое оценщику для документирования выводов, связанных со всеми элементами
контроля, входящими в область применения, а также для подготовки отчетов и других
результатов, которые должны быть представлены пользователю по завершении оценки.

04 июля 2019 года 7

 Программа безопасности пользователей
Методика проведения независимой оценки

4 Подход оценки
SWIFT выбрал метод оценки, а не аудита для обеспечения выполнения требований
документа CSCF. В подтверждении этого SWIFT намеревается позволить пользователям
выбирать из самого широкого круга поставщиков услуг по оценке, включая тех, кто не
обязательно отвечает требованиям в привычном понимании аудито-ориентированной
организации, но которые, тем не менее, являются независимыми и достаточно
квалифицированными организациями для выполнения оценок по соблюдению требований
кибербезопасности (см. Раздел 6 для получения дополнительной информации).

Соответственно, оценщики должны придерживаться отраслевых стандартов в отношении

использования точных методологий оценки и демонстрировать дисциплинированность
при подготовке и предоставлении документации и отчетности.

Для подавляющего большинства3 элементов контроля из CSCF под оценкой имеется

ввиду оценка ”момента времени" реализации пользователем элементов контроля
безопасностью, изложенных в последней действующей версии CSCF. Таким образом,
оценка не должна пытаться воссоздать или подтвердить среду, которая была актуальна
на момент проведения последней аттестации.

3 Пример исключения: 5.3 – "Процесс проверки персонала" будет рассматривать ретроспективные процедуры

04 июля 2019 года 8

Программа безопасности пользователей
Методика проведения независимой оценки

5 Имеющиеся ресурсы для оценки

В идеале внешние оценщики должны быть зарегистрированы в SWIFT (как правило, в
рамках партнерской программы SWIFT - SWIFT Partner Programme), с тем чтобы они
имели прямой доступ к учебным и другим материалам по оценке.

В случае, если пользователь принимает решение привлечь внешнего оценщика, который

не зарегистрирован в SWIFT, он несет ответственность за предоставление оценщику
необходимых материалов SWIFT по оценке в соответствии со всеми применимыми
положениями и условиями. Как минимум, это следующие материалы:

 Концепция обеспечения безопасности пользователей (полный текст)

 Методика проведения независимой оценки по CSCF (этот документ)
 Шаблоны и формы оценки по CSCF на базе Excel (см. ниже)
 Руководящие документы по безопасности (см. ниже)

5.1 Руководство и документация по безопасности

SWIFT предоставляет специальный продукт Руководящие документы по безопасности.
В них изложены минимальные рекомендации SWIFT по обеспечению безопасности для
клиентов, использующих Alliance Web Platform Server-Embedded, Alliance Access / Entry,
Alliance Gateway и SWIFTNet Link, а также все версии Alliance Messaging Hub (AMH).
Сопоставление (меппинг) элементов контроля из CSCF с руководящими документами по
безопасности Alliance Security Guidance приведено в отдельном документе; для AMH это
сопоставление включено в сам документ Руководство по безопасности AMH (AMH Security
Guidance).

Клиентам SWIFT и оценщикам настоятельно рекомендуется ознакомиться с

соответствующими Руководящими документами по безопасности и проверить выполнение
их рекомендаций в своей локальной конфигурации SWIFT. См. здесь список ссылок на
соответствующую документацию: CSCF, рекомендации по безопасности и документация
по сопоставлению (меппингу).

5.2 Шаблоны и формы по оценке

Для обеспечения согласованного подхода к процессу оценки SWIFT предоставляет
пользователям стандартизированные шаблоны и формы. К ним относятся:

 Assessment Request Acknowledgement letter - "Письмо-подтверждение запроса на оценку",

которое учреждение будет использовать для ответа на запрос о проведении оценки по
требованию SWIFT
 Notification of External Assessor Selection - письмо ”Уведомление о выборе внешнего оценщика",
которое учреждение будет использовать для проведения оценок по требованию SWIFT
 Шаблоны на основе Excel для обязательной и рекомендуемой оценки, которые включают в
себя “Письмо о завершении оценки” (Assessment Completion letter)

SWIFT предоставляет эти шаблоны для использования оценщиками при сборе сведений
и фиксации результатов оценок. Существуют отдельные шаблоны, которые могут быть
использованы для обязательных и рекомендуемых наборов элементов контроля из CSCF.

Хотя использование этих шаблонов не является обязательным для оценок,

инициированных пользователями, но поскольку это предоставляет оценщикам
согласованное средство для документирования процесса и результатов оценки, данные
шаблоны являются обязательными для оценок по требованию SWIFT и общепринятых
сообществом оценок.

04 июля 2019 года 9

Программа безопасности пользователей
Методика проведения независимой оценки

Шаблоны оценки непосредственно соотносятся с CSCF и в них указано, какие элементы

контроля из CSCF к какому к типу архитектуры пользователя применяются. Для каждого
применимого элемента контроля соответствующий шаблон подставляет цель элемента
контроля, возможные поддерживающие его ключевые принципы и рекомендации по
внедрению от SWIFT. Используя шаблон, оценщик может затем подтвердить, соблюдаются
ли те из них, которые применимы к пользователю, либо в результате следования
рекомендациям по внедрению от SWIFT, либо (обычно для крупных или имеющих высокий
уровень зрелости процесса управления рисками нарушения информационной безопасности
учреждений) в результате применения альтернативного метода внедрения.

Самые актуальные материалы по оценке можно найти в режиме онлайн на портале

swift.com. Пользователям рекомендуется регулярно заходить на этот портал, чтобы быть
уверенным в том, что они и их оценщики используют самые последние версии форм и
шаблонов Excel, доступных сообществу SWIFT.

5.3 Учебные материалы

Для пользователей и оценщиков с прямым доступом на портал swift.com, учебные курсы
SWIFTSmart доступны по темам, связанным с CSP и CSCF.

Если привлекается внешний оценщик, то следует выделить необходимое время для

подготовки и заключения контракта с соответствующей внешней стороной для проведения
оценки. Этот этап включает рассмотрение бюджетных вопросов (при необходимости),
связанных с выбором внешнего оценщика и закупкой у него услуг. Если необходимо
привлечь внутреннего оценщика, то в рамках организации должно быть проведено
планирование соответствующих мероприятий для обеспечения возможности проведения
работы до истечения срока самоаттестации.
Все Оценщики, отобранные для выполнения процесса оценки по CSCF, должны иметь
соответствующую квалификацию и должны уметь проводить независимую оценку
операционной деятельности на соблюдение требований кибербезопасности.

5.4 Независимость оценщика

Для того чтобы правильно выполнить оценку по CSCF, Оценщик должен быть свободен от
любого конфликта интересов и демонстрировать такой уровень независимости, чтобы
осуществлять соответствующие мероприятия надежным и объективным образом.
Основываясь на определении, которое дал Институт внутренних аудиторов (Institute of
Internal Auditors - IIA), мы характеризуем "независимость" следующим образом:

Независимость - это свобода от обстоятельств, которые угрожают способности аудиту

выполнять обязанности по оценке непредвзято... Угрозы "независимости" должны находиться
под управлением на индивидуальном аудиторском, функциональном и организационном
уровнях, а также на уровне взаимодействий

Когда привлекается внутреннее подразделение для выполнения оценки по CSCF в рамках

Общепринятой сообществом оценки, пользователям рекомендуется принять меры для
обеспечения того, чтобы лица, осуществляющие оценку, выполняли свои обязанности
объективным образом и не подвергались ненадлежащему влиянию.

5.5 Квалификация внешнего оценщика

При выборе внешнего оценщика, пользователи должны проверить и убедиться, что:

A. Фирма, проводящая оценку, имеет недавний (двенадцатимесячный) и соответствующий

опыт проведения оценки операционной деятельности на соблюдение требований
кибербезопасности в соответствии с отраслевым стандартом, таким как PCI DSS, ISO
27001, NIST SP 800-53 или Концепция кибербезопасности NIST (NIST Cybersecurity
Framework).
04 июля 2019 года 10
Программа безопасности пользователей
Методика проведения независимой оценки

B. Лица, которым поручено проведение оценки внешним оценщиком, должны иметь по

крайней мере один профессиональный сертификат, относящуюся к отрасли, например:

 Квалифицированный аудитор систем безопасности - PCI Qualified Security

Assessor (QSA)
 Сертифицированный специалист по безопасности информационных систем -
Certified Information Systems Security Professional (CISSP)
 Сертифицированный аудитор информационных систем - Certified Information
Systems Auditor (CISA)
 Сертифицированный менеджер по информационной безопасности - Certified
Information Security Manager (CISM)
 Ведущий аудитор ISO 27001
 Институт системного администрирования, сетевого взаимодействия и
безопасности - System Administration, Networking, and Security Institute (SANS)

Хотя SWIFT не выступает в поддержку и не аккредитовывает каких-либо конкретных

оценщиков, и пользователи в конечном итоге несут ответственность за выбор оценщика,
соответствующего их потребностям и целям, на сайте swift.com в разбивке по странам
приведен список компаний, которые могут быть способны помочь в проведении
независимых оценок по CSCF, см. Справочник поставщиков услуг по кибербезопасности -
Directory of Cybersecurity Service Providers.

Независимо от этого Совет по стандартам безопасности PCI (PCI Security Standards

Council) ведет список QSA, который можно найти здесь. Эти списки приведены только для
справки.

Для общепринятых сообществом оценок и оценок по требованию SWIFT пользователи

должны указать наименование любого внешнего оценщика (если он привлекается)
непосредственно в приложении KYC-SA во время предоставления данных
самоаттестации.

5.6 Расходы на оценку

Пользователи несут ответственность за все расходы, связанные с проведением оценок.

Фактически, при желании пользователи могут установить контакт с более чем одним
квалифицированным поставщиком для сравнения различных подходов и оценок
стоимости своих услуг.

04 июля 2019 года 11

Программа безопасности пользователей
Методика проведения независимой оценки

6 Методология тестирования
SWIFT не предоставляет "набор готовых сценариев тестирования" для использования в
процессе оценки. Оценщики несут полную ответственность за определение собственного
подхода к разработке сценариев тестирования и проведению мероприятий по оценке в
соответствии с лучшими отраслевыми практиками. В качестве общего руководства ниже
приводятся возможные методологии тестирования.

Эксперты-оценщики должны выбирать методы оценки, которые обеспечивают

надлежащее сочетание эффективности и результативности. Вполне вероятно, что
различные методы оценки будут необходимы для разных элементов контроля CSCF (как
обязательных, так и рекомендуемых).

6.1 Возможные методы оценки

SWIFT рекомендует оценщикам использовать сочетание методов оценки, в зависимости
от индивидуальных обстоятельств пользователя. В целом степень концентрации
оценщика на конкретном элементе контроля должна быть соизмерима с уровнем
соответствующего риска. В тех случаях, когда пользователь использует альтернативные
методы реализации элементов контроля, а не рекомендации по внедрению от SWIFT,
оценщик должен тщательно проверить, обеспечивают ли эти методы по меньшей мере
такой же уровень гарантии в отношении рисков, связанных с соответствующим элементом
контроля. Например:

Опрос
Проведение интервью с соответствующим персоналом может дать представление об
осведомленности об элементах контроля и фактических происходящих в организации
процессах и процедурах, что может способствовать повышению общего уровня гарантии
(в отношении рисков).

Наблюдение
Уровень гарантии определяется в результате непосредственного наблюдения за
существованием конкретных элементов контроля.

Проверка документации
Уровень гарантии определяется путем проверки документов и записей. Одним из самых
основных методов оценки реализации элементов контроля безопасности является проверка
применяемых пользователем документов, таких как политики, стандарты, процессы,
процедуры и инструкции по выполнению. Проверка документации является относительно
простым методом сбора информации об оценке, поскольку он не оказывает существенного
влияния на нормальное функционирование бизнеса. Впрочем, степень гарантии, достигаемая
этим методом, ограничена, поскольку он не обязательно обеспечивает правильное
представление фактических системных настроек, сетевых конфигураций, действий персонала
и других потенциально представляющих интерес методов работы.

Однако проверка клиентской специализированной связанной со SWIFT документации,

такой как руководства оператора по установке и настройке аппаратных модулей
безопасности SWIFT (Hardware Security Modules - HSM), может помочь установить
базовый уровень гарантии в отношении реализации элементов контроля из CSCF.

Перепроверка системы
Контролируемая повторная проверка работоспособности системы и сбор образцов
доказательств работоспособности могут обеспечить дополнительные уровни гарантии.
Этот метод лучше всего использовать в случае технических средств контроля, где
непосредственное понимание системных настроек и конфигураций является полезным.
Доказательства, собранные в результате тестирования системы, часто представляют
собой скриншоты и / или данные, извлеченные из применяемых систем и компонентов
инфраструктуры.

04 июля 2019 года 12

Программа безопасности пользователей
Методика проведения независимой оценки

6.2 Сервис-бюро и поставщики L2BA

Если пользователь работает через сервис-бюро SWIFT (типы архитектур A2, A3 или B),
либо через поставщика бизнес-приложения Lite 2 Business Application (L2BA) (тип
архитектуры B), оценщики должны отметить, что обе стороны подпадают под действие
собственных программ сертификации SWIFT (SWIFT certification programme). Таким
образом, те элементы контроля из CSCF, которые охватываются этими программами,
будут выходить за область применения оценки. Пользователи будут подтверждать только
те элементы контроля, которые применимы к остальным компонентам, составляющим их
локальную инфраструктуру SWIFT.

6.3 Другие сторонние поставщики услуг

В некоторых случаях пользователи могут передавать повседневную работу части или всей
своей локальной инфраструктуры SWIFT сторонним поставщикам услуг (например, для
размещения центров обработки данных). Эти поставщики часто играют важную роль в
реализации ряда применимых элементов контроля из CSCF. Несмотря на это,
пользователи остаются в конечном счете ответственными за соблюдение всех
применимых элементов контроля из CSCF и должны подтвердить свой уровень
соответствия в своей самоаттестации.

В тех случаях, когда для какой-либо работы привлекается сторонний поставщик услуг,
оценщики должны:
Принимая во внимание тип архитектуры пользователя, идентифицировать те
компоненты инфраструктуры в области применения, которые обычно находятся у
пользователя, но в настоящее время управляются или контролируются поставщиком.
Для каждого элемента контроля определить, требуется ли доказательства от
пользователя, поставщика или от обоих, необходимые для подтверждения
выполнения основной цели элемента контроля.
Обсудить с пользователем, могут ли они работать непосредственно с поставщиком
для выполнения тестовых кейсов, связанных с элементами контроля, или вместо этого
им нужно полагаться на пользователя, который будет выступать в качестве
посредника при сборе всех необходимых сведений о реализации элементов контроля.
В любом случае оценщики должны проявлять должную осмотрительность в
обеспечении того, чтобы все элементы контроля из CSCF, применимые к
пользователям, были надлежащим образом оценены и получены надлежащие уровни
гарантий.
Если доказательства от поставщика принимают форму отчета, полученного в
результате уже проведенной внешней проверки (например, отчета ISAE 3000 или
отчета AICPA SOC2), оценщик должен определить вместе с пользователем, является
ли он достаточно свежим, чтобы считать его актуальным, и четко сопоставить с теми
компонентами, которые имеют отношение к области применения оценки пользователя
в рамках CSP. Любые пробелы в охвате потребуют отдельного подтверждения
соблюдения.

04 июля 2019 года 13

Программа безопасности пользователей
Методика проведения независимой оценки

7 Результаты оценки
В следующем разделе приведены рекомендуемые (необязательные) и обязательные
результаты для оценщиков.

7.1 Отчет по оценке

Оценщики должны предоставить пользователям официальный отчет, содержащий
описание подтверждения оценщиком соответствия для каждого элемента контроля
вместе с документацией о замеченных дефектах реализации, а также подтверждение того,
что работа была выполнена с требуемой объективностью и независимостью и с
достаточной тщательностью.

При проведении оценок по требованию SWIFT и общепринятых сообществом оценок,

эксперты по оценке должны обеспечивать, чтобы в отчете об оценке были отражены
результаты, задокументированные в Шаблонах по оценке. SWIFT также рекомендует
оценщикам прилагать отчет для руководства на момент закрытия какой-либо оценки по
CSCF. Кроме того, при использовании в брифинге руководства компании эти отчеты могут
помочь отслеживать изменения результата оценки за год по сравнению с аналогичным
периодом предыдущего года.

Ожидается, что все пользователи будут отслеживать устранение несоответствий.

Для общепринятых сообществом оценок и оценок по требованию SWIFT, необходимо

также подготовить официальное письмо о завершении оценки на базе предоставленного
шаблона. Хотя оно не должно отправляться в SWIFT в инициативном порядке, но должно
быть доступно по запросу.

По завершении процесса оценки пользователям рекомендуется убедиться, что

руководство компании получило все материалы и продукты, связанные с оценкой,
особенно в тех случаях, когда привлекается внешний оценщик.

И пользователям, и оценщикам рекомендуется применять надежные средства контроля

для ограничения доступа к материалам оценки в соответствии с правовыми и
нормативными требованиями и действующими соглашениями о конфиденциальности.

7.2 Согласование с результатами самоаттестации в KYC-SA

В соответствии с Политикой обеспечения безопасности пользователей, каждый год все
пользователи SWIFT должны самостоятельно подтверждать соответствие обязательным
элементам контроля CSCF, действующим на данный момент и применимым к ним. Это
должно быть сделано в приложении KYC-SA и должно быть завершено в период с 1 июля
до конца года – 31 декабря. Например, 1 июля 2018 года был опубликован документ CSCF
V2019 – ожидается, что пользователи будут соответствовать этой новой версии CSCF в
2019 году и могут предоставить данные самоаттестации в соответствии с этой версией
CSCF с 1 июля 2019 года.

Если пользователь должен обновить свою самоаттестацию, чтобы отразить изменения на

уровне элемента контроля (например, переход от несоблюдения к соблюдению данного
элемента контроля), то эти изменения также должны быть подкреплены независимой
оценкой, тем самым гарантируя, что все самоаттестации пользователей, включая любое
устранение замечаний, полностью подкреплены независимой гарантией.

Поэтому для всех типов оценки при планировании сроков ее проведения и связанной с
ней самоаттестации в KYC-SA пользователи должны учитывать следующее:

A. Аттестации пользователей должны согласовываться с выводами соответствующих

отчетов об оценке и поэтому не должны предоставляться до завершения этой оценки.

04 июля 2019 года 14

Программа безопасности пользователей
Методика проведения независимой оценки

B. Пользователи должны предоставить свою аттестацию после завершения оценки (в

идеале в течение 30 дней с даты окончательного отчета об оценке) и должны пройти
самоаттестацию в течение периода аттестации с 1 июля по 31 декабря того же года.

C. Данные, относящиеся к оценке (включая данные об оценщике, дату оценки и версию

CSCF в рамках которой была проведена оценка), должны быть переданы в KYC-SA
вместе с данными аттестации.

04 июля 2019 года 15

Программа безопасности пользователей
Методика проведения независимой оценки

8 Эскалация до надзорных органов и контрагентов

Как заявки на оценку по требованию SWIFT, так и с 2020 года обязательное требование
по выполнению общепринятой сообществом оценки являются неотъемлемой частью
обязательств пользователей по самоаттестации в соответствии с Политикой обеспечения
безопасности пользователей SWIFT.

Неспособность провести оценку по требованию SWIFT или общепринятую сообществом

оценку, будет доведена до сведения надзорных органов и станет доступна контрагентам
таким же образом, как и неспособность своевременно провести самоаттестацию или
публикация аттестации, не соответствующей или не полностью соответствующей
требованиям.

9 Словарь терминов

Термин / Определение
Сокращение
CA Chartered Accountant - Дипломированный бухгалтер-эксперт
CISA Certified Information Systems Auditor - Сертифицированный аудитор
информационных систем
CISM Certified Information Security Manager - Сертифицированный
менеджер по информационной безопасности
CISSP Certified Information Systems Security Professional -
Сертифицированный специалист по безопасности
информационных систем
CPA Certified Public Accountant - Сертифицированный специалист в
области финансового учёта, сертифицированный аудитор
CSCF Customer Security Controls Framework - Концепция обеспечения
безопасности пользователей
CSP Customer Security Programme - Программа безопасности
пользователей
HSM Hardware Security Module - Аппаратный модуль безопасности
IIA Institute of Internal Auditors - Институт внутренних аудиторов
ISO International Organization for Standardization - Международная
организация по стандартизации
ISP Internet Service Provider - Поставщик услуг интернета
KYC-SA Know Your Customer, Знай своего клиента - приложение по
аттестации безопасности на базе платформы KYC Registry
PCI DSS Payment Card Industry Data Security Standard - стандарт
безопасности данных индустрии платежных карт
QSA Qualified Security Assessor - Квалифицированный оценщик по
безопасности
SNL SWIFTNet Link

04 июля 2019 года 16

Программа безопасности пользователей
Методика проведения независимой оценки Официальное уведомление

10 Официальное уведомление
Авторские права

SWIFT © 2019. Все права защищены.

Конфиденциальность

В этом документе содержится конфиденциальная информация SWIFT или третьей

стороны. Не разглашайте этот документ вне вашей организации без предварительного
письменного согласия со стороны SWIFT.

Отказ от ответственности

SWIFT предоставляет эту публикацию только для информационных целей. Информация

в этой публикации может изменяться время от времени. Вы должны всегда обращаться к
последней доступной версии на www.swift.com.

Этот документ содержит общие руководства или рекомендации или разъяснения

имеющейся информации. Клиенты несут единоличную и исключительную
ответственность за принятие любых решений, влекущих за собой действие или
бездействие, а также за принятие решений любого рода, основанных на информации,
содержащейся в данном документе. SWIFT не несет никакой ответственности в
отношении таких действий или решений и их последствий. Ничто в настоящем документе
не должно толковаться или подразумеваться как представляющее собой какое-либо
обязательство, заявление или гарантию со стороны SWIFT.

Перевод

Только английская версия документов SWIFT является официальной и обязательной для

исполнения версией

Торговые марки

SWIFT – торговое наименование S.W.I.F.T. SCRL. Ниже перечислены зарегистрированные

товарные марки SWIFT: 3SKey, Innotribe, MyStandards, Sibos, SWIFT, SWIFTNet, SWIFT
Institute, логотип Standards Forum, логотип SWIFT и UETR. Другие продукты, услуги или
названия компаний в этой публикации являются торговыми марками, товарными знаками
или зарегистрированными товарными марками соответствующих владельцев.

04 июля 2019 года 17